本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
服务器证书的强化准则
贡献者
建议更改
您应将安装期间创建的默认证书替换为您自己的自定义证书。
对于许多组织来说,用于 StorageGRID Web 访问的自签名数字证书不符合其信息安全策略。在生产系统上,您应安装 CA 签名的数字证书以用于对 StorageGRID 进行身份验证。
具体而言,您应使用自定义服务器证书,而不是这些默认证书:
-
* 管理接口证书 * :用于确保对网格管理器,租户管理器,网格管理 API 和租户管理 API 的访问安全。
-
* S3 和 Swift API 证书 * :用于保护对存储节点和网关节点的访问安全, S3 和 Swift 客户端应用程序使用这些节点上传和下载对象数据。
StorageGRID 单独管理用于负载平衡器端点的证书。要配置负载平衡器证书,请参见管理 StorageGRID 的说明中配置负载平衡器端点的步骤。 |
使用自定义服务器证书时,请遵循以下准则:
-
证书应具有与 StorageGRID 的 DNS 条目匹配的 ` subjectAltName` 。有关详细信息,请参见中的第 4.2.1.6 节 "
SSubject Alternative Name ,
" "RFC 5280 : PKIX 证书和 CRL 配置文件"。 -
尽可能避免使用通配符证书。此准则的一个例外是 S3 虚拟托管模式端点的证书,如果事先不知道分段名称,则需要使用通配符。
-
如果必须在证书中使用通配符,则应执行其他步骤以降低风险。请使用通配符模式,例如 ` * .s3.example.com` ,不要对其他应用程序使用
s3.example.com
后缀。此模式也适用于路径模式 S3 访问,例如dc1-s1.s3.example.com/mybucket
。 -
将证书到期时间设置为较短(例如 2 个月),并使用网格管理 API 自动轮换证书。这对于通配符证书尤其重要。
此外,客户端在与 StorageGRID 通信时应使用严格的主机名检查。